防cc攻击_网站防御服务_指南

防cc攻击_网站防御服务_指南

用于网络防御的Windows事件转发Palantirfollowsep 12,2017·16分钟阅读

跨数千台主机的事件检测和响应需要深入了解用户、应用程序和设备的操作和行为。虽然端点检测和保护工具可以提供一些开箱即用的功能,但深入了解和分析安全相关事件对于检测高级威胁至关重要。在过去几年中,Palantir维护了一个内部Windows事件转发(WEF)管道,用于从Microsoft Windows主机生成和集中收集具有法医和安全价值的日志。一旦收集并索引了这些事件,不仅可以针对高保真安全事件(如日志删除)构建警报和检测策略(ADS),还可以针对异常服务帐户访问、访问敏感文件系统或注册表位置或安装恶意软件持久性等偏离正常情况构建警报和检测策略(ADS)。这篇博文的目标有两个:第一,与WEF配置和管理工作流分享我们的经验和分步说明,第二,介绍我们最近开放的WEF整合配置、订阅和组策略对象库: GitHub项目为组织提供了必要的构建块,以快速评估WEF并将其部署到生产环境中,并集中公共努力改进WEF订阅并鼓励采用。虽然世界经济论坛近年来越来越受欢迎,但很少有全面的部署指南。因此,在我们看来,WEF在社区中的代表性仍然严重不足,我们希望该项目可以鼓励其他人将其用于事件检测和响应目的。当我们与全球各地的客户合作以帮助保护他们的环境时,我们相信,我们的配置代表了一个可靠的安全标准,可以应用于任何规模和成熟度的组织中,以提供即时的安全检测和响应结果。我们感谢微软、IAD和其他贡献者为这一领域所做的努力,并感谢他们提供了许多订阅、想法和建议,

WEF基础知识

Windows事件转发(WEF)是一个功能强大的日志转发解决方案,集成在现代版本的Microsoft Windows中,并在其Microsoft文档页面上提供了优秀的文档。总之:

Windows事件转发允许通过推送或拉送机制将事件日志发送到一个或多个集中式Windows事件收集器(WEC)服务器。WEF无代理,依赖于集成到操作系统中的本机组件。WEF支持Windows的工作站和服务器版本。WEF支持通过Kerberos(在域中)进行相互身份验证和加密,或者可以通过使用TLS(附加身份验证或非加入域的计算机)进行扩展。WEF具有丰富的基于XML的语言来控制提交哪些事件ID,抑制嘈杂的事件,将事件批处理在一起,并配置提交频率。订阅XML支持XPath的子集,这简化了编写表达式以选择您感兴趣的事件的过程。

机制

虽然WEF可以配置为源或基于收集器的模型,但我们将重点关注源启动的模型,其中每个设备将其日志转发到一个集中的收集器。这允许移动设备(如笔记本电脑)重新连接到网络,并按照自己的时间表转发日志。WEF连接需要几个基本组件:

组策略对象(GPO)来控制安全审核和事件日志记录。一个或多个服务器配置了Windows事件日志收集器服务(通常称为"WEF服务器"或"WEF收集器")。所有端点(域)的功能Kerberos或有效的TLS证书(非域)对于事件日志收集器服务器。在将转发事件的所有工作站和服务器上启用Windows远程管理(WinRM)。允许设备之间的WinRM连接的防火墙规则。GPO用于指定WEF订阅管理器的URL。一个或多个事件日志订阅。订阅是基于事件ID或其他标准的事件集合,用于告知端点要转发哪些事件日志。

在工作站上首次接收到适当的GPO时,会发生以下操作:

工作站配置安全审核并开始写入本地事件日志。工作站连接到订阅使用WinRM的管理器,通过Kerberos或TLS进行身份验证。在这两种情况下,均应用传输层加密。工作站在事件日志收集器的注册表中注册自身,并下载所有相关WEF订阅的列表。工作站定期向订阅文件中定义的事件日志收集器发送事件。此外,工作站以周期性心跳进行连接。

随着新设备添加到域并接收适当的安全日志记录和WEF订阅GPO,它们将自动开始转发事件,从而减少确保日志覆盖率和质量的管理负担。以下是部署场景的可视化描述:

防cc攻击_网站防御服务_指南

WEF部署架构

热门推荐
  • 服务器防御_cdn防御直播室_如何防

      勒索软件已经存在了几十年,但它迅速在攻击者中流行起来。2015年,联邦调查局收到了2453起勒索软件投诉,受害者损失超过......

    09-08    来源:长虹华伟

    分享
  • 高防_防ddos攻击设备_如何防

      作者:Toni Birdsong,2015年4月28日根据最新统计,我们现在把86%的移动时间花在应用程序上。下载应用程序并在被要求访问我们......

    03-10    来源:长虹华伟

    分享
  • ddos防火墙_初云盾_超高防御

      在英国网络安全活动家的压力下,Facebook™ 最近推出了一个儿童剥削和在线保护中心(CEOP)"恐慌按钮"应用程序,可以用来报......

    06-18    来源:长虹华伟

    分享
  • 服务器高防_英伟达神盾游戏_秒解封

      医疗保健合并和收购迫使医疗服务提供商开发出管理患者旅程的统一方法。越来越多的人开始关注如何使患者和提供者能够无......

    09-04    来源:长虹华伟

    分享
  • ddos清洗_ddos防御的意思_怎么办

      最近,Tenable为Nessus Professional Feed用户添加了审核文件,允许他们审核基于Cisco Nexus操作系统(NX-OS)的设备配置。Cisco NX-OS运......

    12-15    来源:长虹华伟

    分享
  • ddos清洗_马云神盾局_解决方案

      Sophos Partner Connections会议将于5月开始,从拉斯维加斯开始,随后在伦敦和河内举办活动。我们很高兴今年将有1000多个合作伙......

    12-06    来源:长虹华伟

    分享
  • 高防cdn_云防护如何解除_零误杀

      在OneLogin,安全是我们所做的一切的首要任务,我们相信学习网络安全最佳实践永远不嫌早。我们决定为您和您的孩子们提供......

    04-21    来源:长虹华伟

    分享
  • 网站防御_长沙银行云盾服务开通_零误杀

      问候语。最近的一项调查凸显了高管、IT和网络安全领导人及其团队在认知和现实之间存在的令人不安的差异。即将举行的首......

    08-31    来源:长虹华伟

    分享
  • ddos防护_防尿酸高的食物有哪些_免费测试

      Adobe报告了一个影响Flash用户的漏洞。看来,这个安全漏洞可能会让网络犯罪分子获取用户的个人数据,并控制没有更新最新......

    11-04    来源:长虹华伟

    分享
  • cc攻击防御_防御ddos攻击的11种方法_怎么防

      经过多年关于是否对公司实施新的网络安全法规的争论,通用数据保护法规(GDPR)法律于2018年5月在欧洲生效。我们已经看到......

    06-29    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。